Povreda podataka tvrtke Hims izlaže osjetljive zdravstvene zapise

Telehealth div Hims pogođen povredom podataka koja izlaže medicinske zapise

Telehealth tvrtka Hims & Hers Health potvrdila je povredu podataka koja je izložila neke od najosjetljivijih kategorija osobnih podataka koje tvrtka može posjedovati: Zaštićene zdravstvene informacije (PHI). Povreda se dogodila nakon što su akteri prijetnji dobili neovlašteni pristup platformi za korisničku podršku treće strane koju koristi tvrtka. Izloženi podaci uključivali su informacije sadržane u tikitima korisničke podrške, što u kontekstu telezdravlja znači detalje vezane uz recepte, medicinske konzultacije i osobna zdravstvena stanja.

Hakerska skupina ShinyHunters preuzela je odgovornost za napad. Skupina je dobro poznata u krugovima kibernetičke sigurnosti po operacijama krađe podataka u velikim razmjerima i povezuje se s nekoliko visokoprofilnih povreda podataka posljednjih godina. Njihovo uključivanje odmah pobuđuje zabrinutost o tome što se dalje događa s ukradenim podacima, uključujući mogućnost iznude, preprodaje na tržištima mračnog weba ili ciljanih phishing kampanja protiv pogođenih korisnika.

Zašto su dobavljači trećih strana slaba karika u sigurnosti zdravstvene skrbi

Jedan od najvažnijih detalja u ovoj povredi je mjesto gdje se dogodila: ne unutar osnovne infrastrukture tvrtke Hims, već putem platforme za korisničku podršku treće strane. Ovo je obrazac koji postaje sve češći i sve značajniji.

Velike tvrtke rutinski prepuštaju vanjskim suradnicima funkcije poput korisničke podrške, naplate i pohrane podataka specijaliziranim dobavljačima. Svaki od tih dobavljača postaje proširenje površine napada tvrtke. Kada se korisnik registrira za telehealth uslugu, ne povjerava samo toj tvrtki svoje podatke. Povjerava ih i svakom dobavljaču, izvođaču radova i pružatelju softvera s kojim ta tvrtka surađuje.

Ovo je posebno problematično u zdravstvenoj skrbi. Prema američkom zakonu, tvrtke koje rukuju PHI-om dužne su osigurati da njihovi poslovni partneri i dobavljači ispunjavaju standarde usklađenosti s HIPAA-om. Međutim, usklađenost na papiru ne prevodi se uvijek u učinkovitu stvarnu sigurnost. Dobro opskrbljena tvrtka poput Himsa može ulagati znatna sredstva u vlastitu obranu, a pritom ostati izložena putem dobavljača sa slabijim kontrolama.

Povreda podataka tvrtke Hims nije izoliran slučaj. Zdravstvene i telehealth tvrtke postale su glavne mete upravo zato što su podaci koje posjeduju toliko vrijedni. Medicinski zapisi postižu znatno više cijene na kriminalnim tržištima od brojeva kreditnih kartica, jer sadrže informacije koje se ne mogu lako promijeniti i mogu se koristiti za prijevare s osiguranjem, krađu identiteta i ciljano socijalno inženjerstvo.

Što ovo znači za vas

Ako ste korisnik tvrtke Hims ili Hims & Hers, trebali biste pretpostaviti da su informacije koje ste dijelili putem kanala korisničke podrške mogle biti izložene. To može uključivati vaše ime, kontaktne podatke i pojedinosti o medicinskim konzultacijama ili receptima o kojima ste razgovarali s timom za podršku.

Općenitije, ova povreda korisno je podsjetnik na rizike koji dolaze s pohranom osjetljivih osobnih podataka u centraliziranim sustavima. Telehealth platforme izgrađene su oko pogodnosti, a ta pogodnost često znači konsolidaciju vaših zdravstvenih podataka na načine koji stvaraju privlačne mete za napadače. Što više podataka tvrtka posjeduje i što više dobavljača s njima dijeli te podatke, to je veći potencijalni radijus štete kada nešto krene po zlu.

To ne znači da biste trebali izbjegavati telehealth usluge. Za mnoge ljude one pružaju pristup skrbi koja bi inače bila teška ili skupa za dobivanje. Međutim, to znači da biste trebali pažljivo razmisliti o tome koje informacije dijelite putem bilo koje digitalne zdravstvene platforme, uključujući putem tiketa za podršku i funkcija chata, koji se mogu pohranjivati i obrađivati izvan primarnih sustava tvrtke.

Konkretni koraci nakon povrede zdravstvenih podataka

Ako koristite Hims & Hers ili sličnu telehealth platformu, evo nekoliko konkretnih koraka koje vrijedi poduzeti odmah:

• Pratite pokušaje phishinga. Napadači koji pribave zdravstvene podatke često ih koriste za izradu vrlo uvjerljivih phishing poruka. Budite skeptični prema svakom neželjenom e-mailu ili poruci koja se odnosi na vaša zdravstvena stanja, lijekove ili prethodne interakcije s platformom.
• Provjerite svoje račune. Pregledajte svoj Hims račun i sve povezane načine plaćanja zbog neobičnih aktivnosti. Prijavite sve sumnjivo i platformi i svojoj financijskoj instituciji.
• Pazite na prijevaru identiteta. Krađa medicinskog identiteta, pri kojoj netko koristi vaše podatke za lažno dobivanje recepata ili pogodnosti osiguranja, može biti teška za otkriti. Razmislite o postavljanju upozorenja o prijevari kod glavnih kreditnih biroa i praćenju izjava vašeg osiguranja za usluge koje niste primili.
• Ograničite što dijelite u tiketima za podršku. Ubuduće, imajte na umu da kanale korisničke podrške u bilo kojoj tvrtki mogu obrađivati dobavljači trećih strana s vlastitim sigurnosnim standardima. Izbjegavajte dijeliti više detalja nego što je strogo nužno.
• Ostanite informirani o povredi podataka. Pratite službene komunikacije tvrtke Hims o opsegu incidenta i svim korektivnim koracima koje nude, poput usluga praćenja kredita.

Povrede podataka u zdravstvenim tvrtkama neće prestati. Kako se sve više zdravstvenih usluga prebacuje na internet, količina osjetljivih medicinskih podataka koje posjeduju digitalne platforme samo će rasti. Biti pažljiv i informiran korisnik tih usluga jedno je od najučinkovitijih dostupnih obrana za obične ljude. Razumijevanje tko posjeduje vaše podatke i što s njima radi razuman je polazišna točka za zaštitu sebe.